2011.10.27

두큐, 이란과 수단에서 감염 발견

Lucian Constantin | IDG News Service
보안업체인 카스터스키 연구소는 수단에서 새로운 두큐 악성코드 감염이 발견됐으며, 더 중요한 것은 스턱스넷 트로이목마 프로세서의 주요 타깃이었던 이란에서도 감염됐다고 밝혔다. 
 
산업 시설을 파괴하는 악성코드인 스턱스의 코드와 기능을 빌려 밀접하게 연관된 것으로 보이는 두큐는 데이터 유출을 위해 사용되는 유연한 악성코드 딜리버리 프레임워크다.   
 
두큐, 9월 9일 헝가리에서 최초 발견
주요 트로이 목마 모듈은 세가지 요소를 가지고 있는데, 시스템 프로세서에 악성 라이브러리(DLL)을 감염시키는 커널 드라이브, 레지스트리에 들어가거나 파일을 실행하는 명령 및 제어 서버나 기타 운영 시스템과의 통신을 처리하는 DLL 그 자체와 그리고 구성 파일을 갖고 있다. 
 
원본 두큐 버전과 함께 발견된 보조 모듈은 원래 두큐 버전과 함께 발견된 정보를 훔치는 기능이 있는 키로거다. 
 
이 악성코드는 처음 나타났을 때가 확실히 알려지지 않은 것이 아니라 첫번째 샘플은 9월 9일 헝가리의 어떤 이로부터 바이러스토털 서비스에 제출됐다.  
 
이후 카스퍼스키 연구소는 10월 17일에 만들어진 일부의 여러 변종을 확인했고 수단과 이란의 컴퓨터에서 발견됐다. 카스퍼스키 연구원들은 "우리는 적어도 13가지 다른 드라이버 파일이 있으며, 그중에서 단지 6가지만을 확보했다"고 밝혔다. 
 
이란에서 감지된 네 개의 사건은 각각 자신의 방식을 갖고 있다는 점이 흥미로우며, 이들이 별도로 한 나라에서 발생한 사실에서 스턱스넷의 기본 목표라고 믿었다. 
 
한 사건은 동일한 네트워크상에서 두 개의 감염된 컴퓨터에서 두개의 별도 두큐 드라이버를 포함하고 있었다. 또다른 사례의 경우 감염된 컴퓨터가 위치한 네트워크는 최근 스턱스넷과 컨피커 악성코드 모두에게 취약점을 타깃으로 공격당한 적이 있었다. 
 
이런 사실은 연구원들이 두큐가 목표 시스템에 어떻게 도달하는지 여전히 알지 못하는데, 이런 네트워크 공격은 감염이 일어나는 방법에 대한 표시가 될지 모른다고 지적했다. 
 
목표마다 각기 다른 변종 악성 코드
카스퍼스키 연구원들은 "두큐는 매우 주의깊게 희생자를 고른 뒤 타깃 공격을 하는데 사용된다"고 밝혔다. 다른 보고서에 따르면, 두큐는 스턱스넷 사례와 같은 이란의 핵프로그램과, 다른 이란인을 공격했을 때처럼 인증 기관과, 심지어 특정 산업군과 연관된 징후는 보이지 않고 있다.
 
또다른 흥미로운 발견은 각각의 두큐 감염은 각기 다른 이름과 체크섬의 독특한 구성을 하고 있다는 점이다. 
 
igdkmd16b.sys 드라이브는 새로운 암호화 키로, 사용되지 않은 PNF 파일(기본 DLL)이기 때문에 기존 탐지 방법이 쓸모 없다는 것을 의미한다. 바이러스 백신 업체의 연구원은 "이는 DLL이 모든 단일 공격으로 다르게 인코딩되어 있음이 명백하다"고 말했다.  
 
두큐의 유연한 아키텍처때문에 그것 자체를 어느 때든지 명령 및 제어 서버를 변경하거나 다른 구성요소를 설치하는 업데이트해야 한다. 사실 카스퍼스키는 수단이나 이란의 감염된 시스템에서 원본 키로거 모듈을 발견하지 못했다. 이는 다르게 인코딩되거나 다른 어떤 것으로 대체된다는 의미다. 
 
카스퍼스키 연구원들은 또한 "우리는 인도에서 명령 및 제어 서버에 사용된 첫번째 사건이라고 배제할 수 없으며, 그것은 우리가 발견한 목표를 포함해 독특하게 하나의 명령 및 제어 서버들을 목표로 하고 있다"고 부연 설명했다. 
 
"두큐를 만든 이들은 상황에 반응하고 중단하지 않을 것이라는 것을 확신한다. 두큐가 새로운 정보에 대한 사냥을 계속하는 한, 우리는 하루가 다르게 더많은 발전을 할 것이다." editor@itworld.co.kr


2011.10.27

두큐, 이란과 수단에서 감염 발견

Lucian Constantin | IDG News Service
보안업체인 카스터스키 연구소는 수단에서 새로운 두큐 악성코드 감염이 발견됐으며, 더 중요한 것은 스턱스넷 트로이목마 프로세서의 주요 타깃이었던 이란에서도 감염됐다고 밝혔다. 
 
산업 시설을 파괴하는 악성코드인 스턱스의 코드와 기능을 빌려 밀접하게 연관된 것으로 보이는 두큐는 데이터 유출을 위해 사용되는 유연한 악성코드 딜리버리 프레임워크다.   
 
두큐, 9월 9일 헝가리에서 최초 발견
주요 트로이 목마 모듈은 세가지 요소를 가지고 있는데, 시스템 프로세서에 악성 라이브러리(DLL)을 감염시키는 커널 드라이브, 레지스트리에 들어가거나 파일을 실행하는 명령 및 제어 서버나 기타 운영 시스템과의 통신을 처리하는 DLL 그 자체와 그리고 구성 파일을 갖고 있다. 
 
원본 두큐 버전과 함께 발견된 보조 모듈은 원래 두큐 버전과 함께 발견된 정보를 훔치는 기능이 있는 키로거다. 
 
이 악성코드는 처음 나타났을 때가 확실히 알려지지 않은 것이 아니라 첫번째 샘플은 9월 9일 헝가리의 어떤 이로부터 바이러스토털 서비스에 제출됐다.  
 
이후 카스퍼스키 연구소는 10월 17일에 만들어진 일부의 여러 변종을 확인했고 수단과 이란의 컴퓨터에서 발견됐다. 카스퍼스키 연구원들은 "우리는 적어도 13가지 다른 드라이버 파일이 있으며, 그중에서 단지 6가지만을 확보했다"고 밝혔다. 
 
이란에서 감지된 네 개의 사건은 각각 자신의 방식을 갖고 있다는 점이 흥미로우며, 이들이 별도로 한 나라에서 발생한 사실에서 스턱스넷의 기본 목표라고 믿었다. 
 
한 사건은 동일한 네트워크상에서 두 개의 감염된 컴퓨터에서 두개의 별도 두큐 드라이버를 포함하고 있었다. 또다른 사례의 경우 감염된 컴퓨터가 위치한 네트워크는 최근 스턱스넷과 컨피커 악성코드 모두에게 취약점을 타깃으로 공격당한 적이 있었다. 
 
이런 사실은 연구원들이 두큐가 목표 시스템에 어떻게 도달하는지 여전히 알지 못하는데, 이런 네트워크 공격은 감염이 일어나는 방법에 대한 표시가 될지 모른다고 지적했다. 
 
목표마다 각기 다른 변종 악성 코드
카스퍼스키 연구원들은 "두큐는 매우 주의깊게 희생자를 고른 뒤 타깃 공격을 하는데 사용된다"고 밝혔다. 다른 보고서에 따르면, 두큐는 스턱스넷 사례와 같은 이란의 핵프로그램과, 다른 이란인을 공격했을 때처럼 인증 기관과, 심지어 특정 산업군과 연관된 징후는 보이지 않고 있다.
 
또다른 흥미로운 발견은 각각의 두큐 감염은 각기 다른 이름과 체크섬의 독특한 구성을 하고 있다는 점이다. 
 
igdkmd16b.sys 드라이브는 새로운 암호화 키로, 사용되지 않은 PNF 파일(기본 DLL)이기 때문에 기존 탐지 방법이 쓸모 없다는 것을 의미한다. 바이러스 백신 업체의 연구원은 "이는 DLL이 모든 단일 공격으로 다르게 인코딩되어 있음이 명백하다"고 말했다.  
 
두큐의 유연한 아키텍처때문에 그것 자체를 어느 때든지 명령 및 제어 서버를 변경하거나 다른 구성요소를 설치하는 업데이트해야 한다. 사실 카스퍼스키는 수단이나 이란의 감염된 시스템에서 원본 키로거 모듈을 발견하지 못했다. 이는 다르게 인코딩되거나 다른 어떤 것으로 대체된다는 의미다. 
 
카스퍼스키 연구원들은 또한 "우리는 인도에서 명령 및 제어 서버에 사용된 첫번째 사건이라고 배제할 수 없으며, 그것은 우리가 발견한 목표를 포함해 독특하게 하나의 명령 및 제어 서버들을 목표로 하고 있다"고 부연 설명했다. 
 
"두큐를 만든 이들은 상황에 반응하고 중단하지 않을 것이라는 것을 확신한다. 두큐가 새로운 정보에 대한 사냥을 계속하는 한, 우리는 하루가 다르게 더많은 발전을 할 것이다." editor@itworld.co.kr


X